Burp Suit

来自个人维基
跳转至: 导航搜索

【本页面正在持续更新中】

目录

 [隐藏

什么是Burp Suit

Burp或Burp Suite(饱嗝套装)是一个用于测试网络应用程序安全性的图形化工具。该工具使用Java编写,由PortSwigger Web Security开发。

该工具有三个版本。可以免费下载的社区版、专业版和试用后可以购买的企业版。社区版大大减少了功能。它是为网络应用程序安全检查提供全面解决方案而开发的。除了代理服务器、Scanner和Intruder等基本功能外,该工具还包含更高级的选项,如Spider、Repeater、Decoder、Comparer、Extender和Sequencer。

Burp suite背后的公司还开发了一个移动应用程序,其中包含与iOS8及更高版本兼容的类似工具。

Port Swigger由网络安全领域的领先专家Dafydd Stuttard于2004年创建。

TAGS

Web方向(vector_web)、代理(proxy)、HTTP(http)、漏洞扫描器(t_exploit_scanner)、CSS(css)、SSL证书(ssl)

Intruder功能

Intruder功能属于可使用函数程序进行数据包爆破的综合穷举工具。

数据包编写

要使用Intruder,首先要编写一个需要爆破的基础数据包,也可以通过在Proxy功能中抓包后直接发送到Intruder中。随后,要到Positions选项卡中设置攻击形式。几种攻击形式如下:

攻击形式

Cluster Bomb

Cluster Bomb又称集束攻击,通过对数据包内一个变量随机或循环的穷举来发送多个相似但不同的数据包

循环变量的设置

首先要在在合适的地方设置循环变量,点击右侧的ADD§。
随后,进入Payloads。对于Burp Suit来说,每一个循环变量就是一组有效载荷(payload set),所以要对有效载荷进行动作设置。Payload type参数指定了动作的类型。

  • Numbers:数字循环穷举。给定(闭区间)起始数字(From)、结束数字(To)和每次循环中间相隔的数字(Step 步进),软件就会将数据包按照这个规律进行穷举。

集束攻击的典范

在X-Forward-For参数上添加循环变量,则可以进行IP变换式的访问以达成一些限制IP地址的动作(如投票),在请求数据中添加循环变量则可以达成一些诸如字典弱口令爆破之类的动作而规避验证码的问题。

Proxy功能

启用HTTPS劫持

方案A:适用于Windows、Linux、Mac OS

进入Proxy,选择Options选项卡,选择import/export CA certificate,选择Export下的Certificate in DER format。点next,输入文件名,然后点击Select file选择放置位置。

随后进入浏览器设置中的证书设置,导入刚刚的证书。将证书储存位置更改为“将所有的证书都放入下列储存:受信任的根证书颁发机构”。

方案B:适用于其他类型的设备,比如Android和iOS

开启Proxy的监听状态,并将设备连接Burp的代理。然后访问
http://burp

点击右上角的CA certificate安装证书。

抓包

设置代理

首先要在浏览器中设置代理。一般的,最好使用可以独立设置代理的浏览器,比如fire fox。建议不要直接更改系统的代理设置,否则会抓到一大堆无关的干扰数据包。设置地址为Proxy下Option中的Proxy Listeners。你也可以一次性设置多个不同的代理,特别是对于同时研究两个不同客户端的数据包时。

监听

点击intercept on,随后在客户端进行操作。客户端发送的所有数据包都会进入Burp的这个界面。点击Forward按钮可以选择放行此数据包,点击Drop则可以丢弃此数据包。放行之前,可以在下方的框中修改发送的数据。

复现

右键下方的框,选择【Send to repeater】,就可以在复现工具中复现这个数据包,并获取返回数据样本。

温馨提示

  1. 当你抓取了一些安卓客户端程序的包时,请不要擅自使用浏览器直接访问它的api地址。这一操作将会有70%的概率触发对方的防火墙
  2. 更改数据的请求方法时,请直接右键更改。
    1. 特别的,当把GET改成POST时,数据要放到下方的数据区域。conetent=后加换行符。

功能一览

以下内容来自Burp suite - 维基百科,自由的百科全书 (wikipedia.org)

  1. HTTP代理 — 它作为一个 Web 代理服务器运行,并且位于浏览器和目标 Web 服务器之间。这允许拦截、检查和修改在两个方向上通过的原始流量。
  2. Scanner — 一个 Web 应用程序安全扫描器,用于执行 Web 应用程序的自动漏洞扫描。
  3. Intruder — 此工具可以对 Web 应用程序执行自动攻击。该工具提供了一种可配置的算法,可以生成恶意 HTTP 请求。Intruder 工具可以测试和检测 SQL 注入、跨站脚本(XSS攻击)、参数篡改和易受蛮力攻击的漏洞。
  4. Spider — 一个自动抓取 Web 应用程序的工具。它可以与手工映射技术一起使用,以加快映射应用程序内容和功能的过程。
  5. Repeater** — 一个可以用来手动测试应用程序的简单工具。它可以用于修改对服务器的请求,重新发送它们并观察结果。
  6. Decoder — 一种将已编码的数据转换为其规范形式,或将原始数据转换为各种编码和散列形式的工具。它能够利用启发式技术智能识别多种编码格式。
  7. Comparer — 在任意两个数据项之间执行比较(一个可视化的“差异”)的工具。
  8. Extender — 允许安全测试人员加载 Burp 扩展,使用安全测试人员自己的或第三方代码BAppStore页面存档备份,存于互联网档案馆扩展 Burp 的功能
  9. Sequencer — 一种分析数据项样本随机性的工具。它可以用于测试应用程序的会话令牌或其他重要的数据项,如反 CSRF 令牌、密码重置令牌等。
来自“https://www.mywiki.cn/defotsec/index.php?title=Burp_Suit&oldid=81265